Certificado digital

ICP-Brasil: o que é e qual a sua responsabilidade? 

8 minutos de leitura
ICP-Brasil: o que é e qual a sua responsabilidade? 
Hivecloud
Escrito por:
Atualizado em 22 de maio de 2024

A Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil) é uma peça-chave na estrutura de segurança digital do Brasil, atuando como a autoridade máxima em certificação digital.  

Este sistema, criado para conferir autenticidade, integridade e validade jurídica a documentos eletrônicos, assegura a confiança nas transações online, assim como nas trocas de informações digitais.  

Aqui, detalharemos mais informações sobre a ICP-Brasil, exploramos os detalhes dos certificados digitais, e elucidamos pontos importantes sobre a validação e a aplicação destes certificados no cotidiano digital. 

    O que é o ICP-Brasil? 

    A ICP-Brasil, ou Infraestrutura de Chaves Públicas Brasileira, é uma estrutura governamental mantida pelo Instituto Nacional de Tecnologia da Informação (ITI), vinculada à Casa Civil do Governo Federal.  

    Na prática, ela funciona como a Autoridade Certificadora Raiz (AC Raiz) do Brasil, coordenando e regulando todo o mercado de certificação digital no país. Dessa forma, sua criação visa estabelecer e garantir a segurança, a autenticidade e a validade jurídica de documentos eletrônicos e transações digitais. 

    Sendo assim, a ICP-Brasil tem um papel crucial na certificação digital, ditando as práticas, técnicas e procedimentos necessários para assegurar o funcionamento seguro das transações digitais.  

    Por exemplo, ela fiscaliza e audita as Autoridades Certificadoras (ACs) e as Autoridades de Registro (ARs), assegurando que elas operem dentro das normas estabelecidas e sejam capazes de emitir certificados digitais com validade jurídica.  

    Os certificados digitais emitidos sob a égide da ICP-Brasil podem ser de vários tipos e cada um deles tem alguma especificação e uso recomendado, atendendo a diferentes necessidades de segurança e autenticação digital. 

    Existem certificados não validados pela ICP-Brasil? 

    Sim, existem certificados digitais que não são validados pela ICP-Brasil. Eles podem ser emitidos por entidades que não estão credenciadas junto ao ITI (Instituto Nacional de Tecnologia da Informação). E, embora possam proporcionar algum nível de segurança nas transações digitais, eles não têm validade jurídica no âmbito da legislação brasileira.  

    Isso significa que, para transações oficiais ou em que a lei exige a utilização de um certificado digital, apenas os certificados validados pela ICP-Brasil são aceitos. 

    Os certificados não validados pela ICP-Brasil podem ser utilizados em situações em que não é exigida a conformidade com as normas da ICP-Brasil ou em ambientes fechados. Como sistemas internos de empresas, desde que a segurança desses certificados atenda às necessidades específicas da aplicação.  

    No entanto, para a maioria das aplicações oficiais e legais, como assinatura de documentos com validade jurídica, acesso a serviços governamentais eletrônicos e emissão de notas fiscais eletrônicas, é necessário utilizar um certificado validado pela ICP-Brasil para garantir a autenticidade, integridade e o reconhecimento legal das transações digitais. 

    Entenda o que são certificados digitais 

    Um certificado digital é, basicamente, um arquivo eletrônico que contém dados sobre a entidade a quem ele pertence (seja um indivíduo, uma empresa ou um sistema), assim como a chave pública dessa entidade.  

    Ele é emitido por uma Autoridade Certificadora (AC) — uma entidade de confiança responsável por validar a identidade dos titulares dos certificados. 

    Geralmente esses certificados são amplamente utilizados para: 

    • Assinar documentos eletronicamente, com a mesma validade jurídica de uma assinatura manuscrita; 
    • Acessar serviços e sistemas online que exigem identificação segura e confiável; 
    • Garantir a integridade e a origem de mensagens e documentos eletrônicos, evitando fraudes e alterações não autorizadas; 
    • Criptografar dados e comunicações, assegurando que apenas as partes envolvidas possam acessar as informações transmitidas. 

    Dessa forma, os certificados digitais são fundamentais para a segurança da informação na era digital, facilitando a execução de uma variedade de processos eletrônicos com segurança e eficiência, de transações financeiras a processos governamentais eletrônicos. 

    Quais os principais tipos e para que servem?  

    Os principais tipos de certificados digitais e suas finalidades são estruturados para atender a diferentes necessidades de segurança, autenticação e integridade nas transações digitais.  

    Alguns dos tipos mais comuns são: 

    Tipo A – Assinatura Digital 

    • A1: gerado e armazenado digitalmente em software no computador ou dispositivo móvel do usuário, com validade de um ano. Utilizado para assinaturas de documentos eletrônicos e e-mails, onde a praticidade é essencial. 
    • A3: armazenado em um hardware criptográfico externo (token USB ou smart card), tem validade de até três anos. Indicado para transações que requerem alta segurança. 
    • A4: Similar ao A3, mas com armazenamento em Módulo de Segurança Criptográfica (HSM), representando o mais alto nível de segurança. Especialmente utilizado por empresas e organizações com requisitos rigorosos de segurança. 

    Tipo S – sigilo/confidencialidade 

    Projetado para assegurar a confidencialidade das informações, criptografando dados de modo que apenas o destinatário pretendido possa descriptografá-los. Ideal para a proteção de comunicações sensíveis e dados privados. 

    Tipo T – certificado de tempo (Time-Stamping) 

    Confirma o exato momento da realização de uma transação ou assinatura digital, fornecendo uma camada adicional de validade e segurança para documentos e transações digitais. 

    Tipo C – conformidade 

    Utilizado por entidades e sistemas para assegurar conformidade com regulamentos específicos, garantindo que processos e transações digitais atendam a determinados padrões legais ou de mercado. 

    Cada tipo de certificado digital serve a um propósito específico, variando desde a simples assinatura de documentos até a garantia de confidencialidade e a validação de transações no tempo certo.  

    Dessa forma, a escolha do tipo depende das necessidades específicas de segurança, legalidade e operação de cada usuário ou organização.  

    Assinatura digitalizada e certificado digital são a mesma coisa? 

    Não, a assinatura digitalizada e certificado digital não são a mesma coisa; eles funcionam de maneiras distintas. 

    Assinatura digitalizada refere-se simplesmente a uma imagem escaneada da assinatura manuscrita de uma pessoa. Essa imagem pode ser anexada a documentos digitais de forma similar à forma como uma assinatura é feita no papel.  

    Contudo, a assinatura digitalizada não oferece por si só nenhum nível de segurança ou autenticação; ela pode ser facilmente copiada e colada, não havendo garantia de que o titular da assinatura é de fato a pessoa que “assinou” o documento eletrônico. 

    Por outro lado, o certificado digital é um componente de segurança digital que utiliza criptografia para verificar a identidade e garantir a integridade do documento assinado.  

    Quando um documento é assinado eletronicamente usando um certificado digital, a assinatura é protegida por criptografia, tornando impossível alterá-la sem ser detectado. 

    Além disso, o certificado digital assegura que a assinatura é vinculada ao signatário, oferecendo uma maneira segura e confiável de realizar transações eletrônicas e assinar documentos online com validade jurídica. 

    Como verificar se um certificado é padrão ICP-Brasil? 

    Em síntese, você pode verificar essa informação acessando o portal do Governo Federal, onde é disponibilizada uma relação completa das ARs autorizadas. 

    Sendo assim, após a emissão do certificado, é recomendável realizar uma checagem detalhada de elementos específicos do certificado, tais como o número de série, a chave pública associada ao proprietário do certificado, endereço de e-mail, nome, período de validade, identificação da Autoridade Certificadora (AC) que realizou a emissão e a assinatura digital presente no certificado.  

    Assim, essa análise minuciosa permite confirmar se o certificado cumpre com os requisitos estabelecidos pela ICP-Brasil. 

    Como devem ser armazenados e qual é e validade desses certificados? 

    Dependendo do seu tipo, os certificados requerem formas específicas de armazenamento para garantir a segurança e a integridade das chaves criptográficas associadas.  

    Abaixo, seguem práticas recomendadas para o armazenamento e informações sobre a validade: 

    Armazenamento 

    A1: armazenado digitalmente, diretamente no computador ou dispositivo móvel do usuário. A facilidade de acesso deve ser equilibrada com medidas de segurança, como o uso de senhas fortes e software de segurança atualizado, para evitar o acesso não autorizado. 

    A3 e A4: armazenados em dispositivos criptográficos físicos, como tokens USB ou cartões inteligentes, que oferecem uma camada adicional de segurança. Esses dispositivos devem ser mantidos em local seguro e protegido, de modo a prevenir perdas ou danos.  

    O A4, especificamente, utiliza um Módulo de Segurança Criptográfico (HSM) para um nível ainda maior de proteção. 

    Validade 

    A1: tem validade máxima de 1 ano. Após esse período, é necessário renovar o certificado para continuar utilizando seus serviços de autenticação e assinatura digital. 

    A3: geralmente tem uma validade de até 3 anos, dependendo das políticas da Autoridade Certificadora que o emitiu. A renovação também é necessária após o término desse período. 

    A4: similar ao A3, o A4 pode ter diferentes períodos de validade, mas frequentemente oferece a opção de validades estendidas devido ao alto nível de segurança e ao processo de verificação mais rigoroso. 

    Onde adqurir certificado digital?

    Com a Hivecloud, você pode adquirir agora seu certificado digital A1 e-CNPJ para emitir CTe e MDFe com mais rapidez e de qualquer lugar com acesso à internet.

    Dessa forma, todos os arquivos e dados gerenciados pelo certificado digital ficarão armazenados no servidor em nuvem da Hivecloud.

    Isso traz mais segurança na gestão dos seus documentos e permite que você os acesse de qualquer lugar. Basta estar conectado à internet!

    Em síntese, a gestão eficiente dos certificados digitais, seguindo os padrões ICP-Brasil, é fundamental para a segurança e autenticidade nas transações online. Dessa forma, o cuidado com as datas de validade e a renovação garantem a continuidade da proteção e a conformidade com as normas, sustentando a confiança no ambiente digital. 

    Certificado Digital A1 em 12x sem juros

    Adquira agora seu certificado digital A1 e-CNPJ para emitir CTe e MDFe de qualquer lugar!

    Certificado Digital A1 em 12x sem juros

    *Ao inscrever-se, você aceita nossos Termos de Uso.